Aproveche el hardware y el software para mejorar el rendimiento de cifrado ECDHE y ECDSA

Nota:

Esta mejora solo se aplica a las siguientes plataformas:

  • MPX/SDX 11542
  • MPX/SDX 14000
  • MPX 22000, MPX 24000 y MPX 25000
  • MPX/SDX 14000 FIPS

Anteriormente, el cálculo ECDHE y ECDSA en un dispositivo Citrix ADC se realizaba únicamente en el hardware (chips Cavium), lo que limitaba el número de sesiones SSL en un momento dado. Con esta mejora, algunas operaciones también se realizan en el software. Es decir, el procesamiento se realiza tanto en los chips Cavium como en los núcleos de CPU para mejorar el rendimiento de cifrado ECDHE y ECDSA.

El procesamiento se realiza primero en software, hasta el umbral de cifrado de software configurado. Una vez alcanzado este umbral, las operaciones se descartan en el hardware. Por lo tanto, este modelo híbrido aprovecha tanto el hardware como el software para mejorar el rendimiento SSL. Puede habilitar el modelo híbrido configurando el parámetro “SoftwareCryptoThreshold” para que se adapte a sus necesidades. Para inhabilitar el modelo híbrido, establezca este parámetro en 0.

Los beneficios son mayores si la utilización actual de la CPU no es demasiado alta, porque el umbral de la CPU no es exclusivo del cálculo ECDHE y ECDSA. Por ejemplo, si la carga de trabajo actual del dispositivo Citrix ADC consume el 50% de los ciclos de CPU y el umbral se establece en el 80%, el cálculo ECDHE y ECDSA puede utilizar un 30% adicional de los ciclos. Una vez alcanzado el umbral de cifrado de software configurado del 80%, se descargó el cálculo ECDHE y ECDSA al hardware. En ese caso, la utilización real de la CPU podría superar el 80%, ya que realizar cálculos ECDHE y ECDSA en hardware consume algunos ciclos de CPU.

Habilitar el modelo híbrido mediante la CLI

En el símbolo del sistema, escriba:

set ssl parameter -softwareCryptoThreshold <positive_integer>

Synopsis:

softwareCryptoThreshold:

Citrix ADC CPU utilization threshold (as a percentage) beyond which crypto operations are not done in software. A value of zero implies that CPU is not utilized for doing crypto in software.

Default = 0

Min = 0

Max = 100

Ejemplo:

>set ssl parameter - softwareCryptoThreshold 80
Done

>show ssl parameter
Advanced SSL Parameters

SSL quantum size                  : 8 KB
Max CRL memory size               : 256 MB
Strict CA checks                  : NO
Encryption trigger timeout        : 100 ms
Send Close-Notify                 : YES
Encryption trigger packet c       : 45
Deny SSL Renegotiation            : ALL
Subject/Issuer Name Insertion Format : Unicode
OCSP cache size                   : 10 MB
Push flag                         : 0x0 (Auto)
Strict Host Header check for SNI enabled SSL sessions : NO
PUSH encryption trigger timeout   : 1 ms
Crypto Device Disable Limit       : 0
Global undef action for control policies : CLIENTAUTH
Global undef action for data policies : NOOP
Default profile                   : DISABLED
Disable TLS 1.1/1.2 for SSL_BRIDGE secure monitors    : NO
Disable TLS 1.1/1.2 for dynamic and VPN services : NO
Software Crypto acceleration CPU Threshold : 80
Signature and Hash Algorithms supported by TLS1.2 : ALL

Habilite el modelo híbrido mediante la interfaz gráfica de usuario

  1. Vaya a Administración del tráfico > SSL > Cambiar la configuración avanzada de SSL.
  2. Introduzca un valor para Umbral de cifrado de software (%).

Aproveche el hardware y el software para mejorar el rendimiento de cifrado ECDHE y ECDSA